بدافزار شعله

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو
درصد تاثیر بدافزار فلیم بر روی رایانه‌ها[۱]

فلیم (به انگلیسی: Flame) یا شعله[۲] که به عنوان Flamer و یا sKyWlper نیز شناخته می‌شود قطعه پیچیده‌ای از یک بدافزار کامپیوتر است که رایانه‌های با سیستم‌عامل ویندوز را مورد حمله قرار می‌دهد. این بدافزار از سال ۲۰۰۶ شروع به فعالیت کرده‌است.[۱] و برای جاسوسی اینترنتی و تخریب اطلاعات مهم[۳] در کشورهای خاورمیانه و اروپای شرقی استفاده می‌شود. این بدافزار اولین بار در سال 2007 میلادی توسط آنتی ویروس های Prevx شناسایی شد .

در گزارش ها آمده که sKyWlper قطعاً پیچیده ترین نرم‌افزار مخرب بوده‌است که در طی فعالیتشان دیده شده‌است، و مسلماً این پیچیده‌ترین نرم‌افزار مخربی بوده که تااکنون کشف شده‌است.

بررسی‌های اولیه نشان می‌داد که بیشترین آلودگی به ترتیب رایانه‌ای کشورهای ایران ۱۸۹ رایانه ، اسرائیل ۹۸ رایانه، سودان ۳۲ رایانه را تحت تاثیر قرار داده‌است.[۱] .

تاریخچه[ویرایش]

به نظر میرسد این بدافزار که اولین بار در سال 2007 توسط هوش مصنوعی آنتی ویروسهای Prevx شناسایی شد از سال ۲۰۰۶ شروع به فعالیت کرده باشد .[۱] فلیم در می۲۰۱۲ بوسیله آزمایشگاه کاسپرسکی، مرکز واکنش سریع به مشکلات رایانه‌ای ایران، و آزمایشگاه CrySyS دانشگاه تکنولوژی و اقتصاد بوداپست تجزیه و تحلیل شد هنگامی که اتحادیه بین‌المللی مخابرات سارمان ملل متحد از آزمایشگاه کاسپرسکی خواسته بود گزارش‌های حاکی از ویروس مؤثر بر رایانه‌های وزارت نفت ایران را بررسی کند. همانطور که آزمایشگاه کاسپرسکی بررسی کرده بود آنها یک ام‌دی۵ هَش و نام فایل که به نظر می‌رسید تنها بروی ماشین‌های مشتری‌های خاورمیانه‌است را کشف کردند. بعد از کشف قطعات بیشتر محققان به برنامه نام فلیم (شعله) دادند. در ابتدا شرکت کاسپرسکی اعلام کرد که بدافزار فلیم از فوریه ۲۰۱۰ فعال شده‌است و بعداً CrySys گزارش داد که نام فایل کامپوننت اصلی در اوایل دسامبر ۲۰۰۷ مشاهده شده بود. با این حال تاریخ ایجاد آن به طور مستقیم مشخص نمی‌شود چون تاریخ ایجاد ماژول‌های مخرب به دروغ به اوایل سال ۱۹۹۴ تنظیم شده‌است در بررسی‌های بعدی با کشف یک سرور که نرم‌افزار فلیم را کنترل می‌کرد مشخص شد که این بدافزار از سال ۲۰۰۶ فعال بوده‌است.[۱]

مشخصات[ویرایش]

بدافزار یک برنامه نسبتاً بزرگ در اندازه ۲۰ مگابایت است، تا حدی با زبان برنامه‌نویسی لوا با کدهای سی++ لینک شده نوشته شده‌است و به ماژولهای دیگر حمله کننده اجازه می‌دهد بعد از عفونت اولیه لود شوند. بدافزار از ۵ روش رمزنگاری مختلف استفاده می‌کند، و یک پایگاه‌داده اس‌کیوال لایت برای ذخیره اطلاعات ساخت‌یافته استفاده می‌کند. روش مورد استفاده برای آلوده کردن کد در سایر پروسه‌ها بصورت مخفی است و ماژول‌های آلوده در لیست ماژولهای لوده شده در یک فرایند دیده نمی‌شوند. همچنین صفحات حافظه مورد استفاده تروجان در برابر خواندن نوشتن و اجرا کردن محافظت شده‌اند که در نتیجه بوسیله برنامه‌های سطح کاربر قابل دسترس نیستند.

این پروژه شامل سه بدافزاری است که به گفته متخصصان، یکی از آنها همچنان مشغول به کار است.[۱]

کاربرد[ویرایش]

مانند سلاح سایبری که قبلاً شناخته شده بود یعنی استاکس‌نت و دوکو، این بدافزار بصورت هدفمند ساخته شده و می‌تواند از طریق قابلیت روت‌کیتها از نرم‌افزارهای امنیتی فعلی فرار کند. هنگامی که یک سیستم آلوده می‌شود، بدافزار فلیم می‌تواند بروی شبکه محلی یا از طریق فلش دیسک به سیستم‌های دیگر پخش شود و می‌تواند صدا، نماگرفت و یا فعالیت‌های کی‌برد و ترافیک شبکه را ضبط کند. برنامه همچنین مکالمات اسکایپ را ضبط می‌کند و می‌تواند سیستم آلوده را به Bluetooth beacons تبدیل کند که تلاش می‌کند اطلاعات تماس را از بلوتوث اطراف جمع‌آوری کند. این داده‌ها همراه به اسناد محلی به سرور فرماندهی و کنترل ارسال می‌شود.
برخلاف استاکس‌نت که برای آسیب رساندن به یک فرایند صنعتی طراحی شده بود فلیم به نظر می‌رسد که صرفاً برای مقاصد جاسوسی نوشته شده‌است. به نظر نمی‌رسد که برای یک صنعت خاص را هدف قرار داده باشد بلکه یک ابزار حمله کامل است که برای اهداف سایبری و جاسوسی عمومی طراحی شده‌است.
فلیم هیچ تاریخ پایان عمر را بصورت توکار ندارد تا آن را غیرفعال کند، اما اپراتورها می‌توانند یک ماژول kill ارسال کنند که همه رده‌پاهای فایل‌ها فلیم را از سیستم پاک کند.

نظریه‌ها در مورد مبدا[ویرایش]

روزنامه واشنگتن پست در گزارشی از همکاری آمریکا و اسرائیل در تولید بدافزار موسوم به فلیم (Flame) با هدف خرابکاری در برنامه اتمی ایران خبر داده‌است. این روزنامه به نقل از منابع مطلع ناشناس نوشت هدف از تولید این بدافزار، جاسوسی از شبکه‌های کامپیوتری در ایران و کسب اطلاعات لازم برای ایجاد اخلال در پیشرفت برنامه هسته‌ای این کشور بوده‌است.[۴]

دستور پاک‌سازی[ویرایش]

سازندگان بدافزار "فلیم" (Flame)، با فرستادن دستور "خودکشی"، آن را از برخی کامپیوترهای آلوده پاک کرده‌اند. شرکت سیمانتک اعلام کرده‌است که در بعضی از کامپیوترهایی که به "فلیم" آلوده شده بودند، رد فرمانی فوری از طرف سازندگانش را پیدا کرده‌اند که برای پاک کردن کامل بدافزار فلیم از روی کامپیوترها طراحی شده بود.[۵]

جستارهای وابسته[ویرایش]

منابع[ویرایش]

  1. ۱٫۰ ۱٫۱ ۱٫۲ ۱٫۳ ۱٫۴ ۱٫۵ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml
  2. فلیم به معنی شعله یکی ار رشته‌هایی است که در کد یافته شده‌است.
  3. BBC فارسی - دانش و فن - بدافزار فلیم 'به جز جاسوسی، خرابکاری هم می‌کند'
  4. BBC فارسی - ایران - 'همکاری آمریکا و اسرائیل در تولید بدافزار فلیم'
  5. BBC فارسی - جهان - سازندگان بدافزار "فلیم" به آن دستور 'خودکشی' داده‌اند